セキュリティポリシー

1. 当社のコミットメント

innnov8において、セキュリティは開発・運営の中核をなすものです。クライアントデータの保護を最優先事項とし、インフラ・コードベース・社内プロセス全体において業界標準のプラクティスを適用しています。本ポリシーでは、当社が講じている対策とクライアントとの協働における期待事項を説明します。

2. インフラセキュリティ

• すべてのサービスは、SOC 2または同等の認証を持つ信頼できるクラウドプロバイダー（AWS、Vercelなど）でホスティングされています。
• 転送中データはTLS 1.2以上で暗号化。保存データはAES-256で暗号化されます。
• 本番環境は開発・ステージング環境から完全に分離されています。
• インフラへのアクセスは、多要素認証（MFA必須）による強力な認証で保護された担当者のみに限定されています。

3. アプリケーションセキュリティ

• Webアプリケーション構築においてOWASP Top 10ガイドラインに従っています。
• 既知の脆弱性がないかDependencyを継続的に監視し、定期的に更新します。
• 本番ブランチへのマージ前にコードレビューを必須としています。
• シークレットや認証情報はバージョン管理システムに保存せず、環境変数とシークレットマネージャーを使用します。

4. クライアントデータの取り扱い

• クライアントデータへのアクセスは、そのプロジェクトに正当な必要性を持つメンバーのみに限定されます。
• 明示的な合意がない限り、業務委託期間を超えてクライアントデータを保持しません。
• プロジェクト完了後は、構造化されたオフボーディングプロセスに従い、クライアントデータを移管・削除します。
• クライアントデータは、合意されたサービス提供以外の目的に使用しません。

5. アクセス制御

最小権限の原則を徹底しています。プロジェクト環境・リポジトリ・ツールへのアクセスは必要に応じて付与され、担当者の役割変更や退職時には速やかに権限を剥奪します。

6. インシデント対応

クライアントデータに影響するセキュリティインシデントが発生した場合、当社は以下を約束します。

• インシデント認知後72時間以内に影響を受けたクライアントに通知します。
• 発生内容・影響を受けたデータ・対応措置を明確に説明します。
• インシデント後のレビューを実施し、関連する調査結果をクライアントと共有します。

7. 脆弱性の責任ある開示

innnov8が運営するサービスにセキュリティ上の脆弱性を発見された場合は、責任ある方法でご報告ください。security@innnov8.com宛に、問題の説明と再現手順をお送りください。2営業日以内にレポートを確認し、有効な問題は速やかに対処します。善意で報告された個人に対して法的措置を取ることはありません。

8. サードパーティサービス

サードパーティのツール・サービスを統合する前に、セキュリティプラクティス・データ取り扱いポリシー・コンプライアンス認証を慎重に評価します。現在の委託先一覧は請求に応じて提供します。

9. お問い合わせ

セキュリティに関するご質問は security@innnov8.com まで。一般的なお問い合わせは hello@innnov8.com をご利用ください。